PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kaspersky Anti Virus 5 u. ein paar Fragen



Redcliff
03.11.2004, 18:43
servus,

bin gestern von norton av 2002 auf kaspersky personal 5.0 umgestiegen.......

habe zunächst alle eingebauten scanner auf max. sicherheit eingestellt, u. ihm gesagt das die erweiterten datenbanken geladen werden sollen.
zudem soll er alle gefundenen viren löschen.

dann von heise sicherheitscheck (http://www.heise.de/security/dienste/emailcheck/demos/go.shtml?kategorie=virendummies) sämtliche viren mails schicken lassen, welche dort angefordert werden können.

Ergebniss:
6x <Message has been disinfected>:<c't-Emailcheck:xxxxxxx>

3x mails wurden nicht gekennzeichnet

bei den mails waren die anhänge meist vorhanden, einige liesen sich nicht entpacken (winrar meldet fehler) andere z.b die "eicars" u. der "scr" wurden jedoch nicht angemahnt.
sprich die eicar.zip wurde zwar gekennzeichnet, lies sich aber ohne meldung bis auf die textdatei extrahieren.
auf EICAR-ZIP-Crypt hat er, ebenso wie auf sämtliche ausführbare dateien, garnicht reagiert.

warum löscht er diese anhänge nicht, warum findet er nur 6 von 9?
ist das so richtig?

das verwundert u. verunsichert mich schon etwas, zumal ich meine das der alte norton bei diesen tests etwas besser ausgesehen hat.

dann noch etwas:

bei einigen ordnern mit gezippten dateien (z.b.spybot recovery, adaware) verlangt kaspersky ein passwort. was gebt ihr ihm zur antwort???


übrigens hat mein alter norton lt. kaspersky, mein system absolut sauber gehalten.......

cruger
05.11.2004, 18:45
mist, wollte gerade mal den c't check ausprobieren.

leider wurden von den neun emails bereits die meisten vom web.de filter entschärft, und zwar EICAR-ZIP
EICAR-RAR
EICAR-RAR kyrillisch
Manip-ZIP2
EICAR

beim manuellen scan der outlook express datenbank hat kaspersky folgende viren gefunden


Objekt \Posteingang.dbx\[From:"c't-Emailcheck"<emailcheck-robot@ct.heise.de>][Subject:c't-Emailcheck: Manip.ZIP1 (srrtglf)][Time:2004/11/05 18:00:58]\eicar_l0.zip\eicar.com ist infiziert von Virus EICAR-Test-File. Wir empfehlen die Desinfektion des Objektes.

Desinfizieren | Löschen | Überspringen


Nachrichtenkörper \Posteingang.dbx\[From:"c't-Emailcheck"<emailcheck-robot@ct.heise.de>][Subject:c't-Emailcheck: Netsky.P (vzmnwgf)][Time:2004/11/05 18:01:11]\text/html ist möglicherweise infiziert von Virus Exploit.IFrame.FileDownload. Wir empfehlen das Speichern dieses Objektes in Quarantäne.

Speicher in Quarantäe | Löschen | Überspringen

der on-access-scanner hat bei folgenden mail alarm geschlagen


EICAR-ZIP-Crypt

Der Zugriff auf Objekt \DOKUME~1\[BENUTZER]\LOKALE~1\Temp\Rar$DI04.422\eicar.com wurde gesperrt. Objekt ist infiziert von Virus EICAR-Test-File. Wir empfehlen die Desinfektion dieses Objekts.

Desinfizieren | Löschen | Überspringen

Bagle.Q krieg ich nicht zum laufen. keine ahnung, woran das liegt.

hab extra die sicherheitseinstellungen auf sehr niedrig gesetzt und activex komplett zugelassen.

aber die sicherheitseinstellungen der "eingeschränke sites" zone ist im normalfall bei mir sowieso auf maximal.


mfg
cruger

kreins
05.11.2004, 20:15
Also bei mir wurden alle erkannt und nur bei Netsky (.scr) passierte nix.
Wollte die dann öffnen ;D und bekam dann diese Meldung.
http://kreins.de/screen/Netsky.gif
mfg

kreins
05.11.2004, 20:25
Hah ich wollte die ja unbedingt öffnen und habe den Anhang auf den Desktop kopiert und dann geöffnet.

http://kreins.de/screen/aua.gif

Ich habe die Datei vorher manuell gescannt mit Symantec Antivirus Corporate Edition 9 und es wurde nix gefunden?
Das teste ich morgen erstmal mit F-Secure Antivirus Corporate, mal schauen ob das normal ist.
mfg

cruger
05.11.2004, 20:36
Original geschrieben von Redcliff

bei einigen ordnern mit gezippten dateien (z.b.spybot recovery, adaware) verlangt kaspersky ein passwort. was gebt ihr ihm zur antwort???

einfach überspringen.

die signaturen und recovery files von spyware-tools sind meistens sinnvollerweise paßwort geschützt.

weil sonst ein virenscanner wie kaspersky, der mit den erweiterten datenbanken nach ähnlichen schädlingen sucht, sofort alarm schlagen würde.


mfg
cruger

Redcliff
05.11.2004, 21:27
servus,


Original geschrieben von kreins
Hah ich wollte die ja unbedingt öffnen und habe den Anhang auf den Desktop kopiert und dann geöffnet.

http://kreins.de/screen/aua.gif

Ich habe die Datei vorher manuell gescannt mit Symantec Antivirus Corporate Edition 9 und es wurde nix gefunden?
Das teste ich morgen erstmal mit F-Secure Antivirus Corporate, mal schauen ob das normal ist.
mfg

genau diesen hat sich kaspersky bei mir auch durch die lappen gehen lassen.....also über maileingang, speichern, u. öffnen keine reaktion.
irgendwie kommt mir kasperskys verhalten eh ein wenig merkwürdig vor, allerdings kann das auch mit der jahrelangen norton benutzung zusammenhängen.
z.b. ist es kaum zu erkennen ob er mails scannt, egal ob kommend od. gehend.

beim norton war das ziemlich eindeutig.

cruger
05.11.2004, 21:33
vor dem öffnen einfach manuell die mail-datenbank(en) mit kaspersky scannen.

manuell hat er den netsky.p einwandfrei entsorgt.

trotzdem komisch, daß der on-access-scanner beim öffnen nicht reagiert.


mfg
cruger

Redcliff
05.11.2004, 21:39
servus,

werde morgen noch ein wenig mit mails testen,
eventuell werde ich mir nochmal ein image mit meinem norton 2002 zurückspielen u. gegentesten.

cruger
05.11.2004, 21:55
also ich hab die test-mails mal über t-online ohne vorsortierung laufen lassen.

folge viren/mails hat der manuelle scan des posteingangs erkannt und beseitigt

ON-DEMAND EICAR-Test-File
EICAR-RAR
EICAR-ZIP
EICAR-ZIP-Crypt
EICAR-RAR kyrillisch
Manip.ZIP1
Netsky.P

NICHT ERKANNT => Manip.ZIP2

bei folgenden schädlingen hat der on-acces-scanner beim öffnen alarm geschlagen

ON-ACCESS EICAR-Test-File
EICAR-RAR
EICAR-ZIP
EICAR-ZIP-Crypt
EICAR-RAR kyrillisch
Manip.ZIP1
Manip.ZIP2

NICHT ERKANNT => NetSky.P


ich will mal schauen, was im vergleich bitdefender zu stande bringt.

mfg
cruger

cruger
06.11.2004, 01:05
hmm, bitdefender 8.0 hat sich gerade bei mir disqualifiziert.

schon bei der benutzerdefinierten installation der professional plus trial-version fällt auf, daß man die einzelnen komponenten (wie den task-planer oder das anti-spam-modul etc.) nicht abwählen kann. warum also die möglichkeit normale, komplette und benutzerdefinierte installation, wenn ohnehin alles installiert wird ?


zumindest erkennt bitdefender alle test-schädlinge einwandfrei. (bagle geht wie gesagt bei mir nicht)

Manip.ZIP2
Manip.ZIP1
EICAR-RAR kyrillisch
Netsky.P
EICAR-RAR
EICAR-ZIP
EICAR

(bei entpacken der verschlüsselten EICAR-ZIP datei schlägt bitdefender auch korrekt alarm)

der bitdefender on-access-scanner ist extrem rigoros. sobald ich unter outlook express den ordner mit den test-schädlingen anwähle, wird der zugriff darauf durch bitdefender komplett gesperrt. mit einem warnhinweis zu den jeweiligen schädlingen. leider gibt es zur warnung nicht sofort die möglichkeit, die schädlinge zu entsorgen.

also outlook express beenden und die datenbank im windows explorer manuell gescannt. auch der on-demand-scanner findet alle schädlinge. habe bei allen löschen angewählt. bei netsky.p bietet er warum auch immer nur die option "verschieben/kopien in quarantäne" an.

fertig. zumindest habe ich das gedacht.

outlook express wieder gestartet. wieder sperrt mir der on-access-scanner den ordner mit den test-schädlingen.

outlook beendet und die datenbank nochmals manuell gescannt. und siehe da, er findet die schädlinge erneut. sind offensichtlich nicht gelöscht worden. prozedur mehrfach wiederholt. trotz löschen-aufforderung bleiben die schädlinge existent.

tolle sache. der on-access-scanner verhindert zwar die ausführung der schädlingsdateien. aus welchen grund auch immer führt bitdefender aber beim manuellen scannen der oe-datenbank die aufträge zum löschen nicht korrekt aus.


zum vergleich, bei kaspersky funktioniert das einwandfrei. sollte man von einem av-scanner wohl auch erwarten können. bei kaspersky sind die mails anschließend mit einem disinfected markiert.

irgendwie eine ziemlich merkwürdige sache mit bitdefender. ich werd mir mal die trial der standard-version runterladen.


mfg
cruger

cruger
06.11.2004, 01:29
hmm, das gleiche bei bitdefender standard.

ist das vielleicht eine einschränkung der trial-version ? sie können sich die tolle erkennungsleistung unserer produkte anschauen, löschen dürfen sie schädlinge aber nur, wenn sie das produkt gekauft haben :]

abgesehen davon ist mir das programm zu aggressiv.

wenn bei bitdefender der on-access-scanner im hintergrund läuft, verhindert das programm gleich den kompletten mail-empfang. die email wird direkt gelöscht, man bekommt danach eine hinweis-email von bitdefender.


BitDefender detected an infected message addressed to you

From: [c't-emailcheck <emailcheck-robot@ct.heise.de>]
Subject: [c't-emailcheck: netsky.p (sahjbaz)]
Virus Name [Exploit.Iframe.Vulnerability]
Virus Description: http://www.bitdefender.com/vfind/?q=Exploit.Iframe.Vulnerability
Action taken: delete

Thank you for choosing the BitDefender solutions!

BitDefender Lab
www.bitdefender.com

ist ja sehr schön. was aber, wenn da zwar ein schädling im anhang, der inhalt der email aber trotzdem wichtig ist !?

ist irgendwie ein seltsames programm.


mfg
cruger

Redcliff
06.11.2004, 02:22
servus cruger,

danke das du nochmals so ausführlich getestet hast..........

habe jetzt auch nochmals kaspersky mit den heise mails bombardiert:

standard test eicar
zip mit eicar
rar mit eicar
netsky_p
EICAR mit kyrillischen Zeichen
Manipulierte ZIP-Datei (zip 10)

werden im post eingang kenntlich u. unschädlich gemacht.

EICAR in passwortgeschütztem ZIP-Archiv
Manipulierte ZIP-Datei (zip_g0 )

wurden im maileingang nicht erkannt, aber beim ersten anpacken sofort gemeldet u. unschädlich gemacht.


einzig netsky_p scheint kritisch zu sein, da mail zwar als desinfiziert ausgegeben wird, der virus sich aber abspeichern u. ausführen lässt (also nicht gemeldet u. unschädlich gemacht wird).

bagle_q ist ein fall für sich weil client abhängig.

cruger
06.11.2004, 10:12
Original geschrieben von Redcliff

einzig netsky_p scheint kritisch zu sein, da mail zwar als desinfiziert ausgegeben wird, der virus sich aber abspeichern u. ausführen lässt (also nicht gemeldet u. unschädlich gemacht wird).

komisch, gestern hat kaspersky den netsky.p nicht automatisch desinfiziert.

hab das heute morgen noch einmal wiederholt, und da wurde netsky.p bei mehreren versuchen jedesmal bei mail-empfang erkannt.

zwar ist die mail markiert, nur leider ist die meldung irreführend, daß die mail desinfiziert sei.

denn netsky.p läßt sich, wie du schon festgestellt hast, nachwievor ausführen. und da schlägt der on-access-scanner leider keinen alarm.

gilt im übrigen auch für den manuellen scan der posteingang.dbx - kasperksy meldet, daß die netsky.p mail desinfiziert sei. die datei im anhang läßt sich nachwievor ausführen, ohne daß der on-access-scanner reagiert.


mfg
cruger

Redcliff
06.11.2004, 10:46
servus,


Original geschrieben von cruger
komisch, gestern hat kaspersky den netsky.p nicht automatisch desinfiziert.

hab das heute morgen noch einmal wiederholt, und da wurde netsky.p bei mehreren versuchen jedesmal bei mail-empfang erkannt.

zwar ist die mail markiert, nur leider ist die meldung irreführend, daß die mail desinfiziert sei.

denn netsky.p läßt sich, wie du schon festgestellt hast, nachwievor ausführen. und da schlägt der on-access-scanner leider keinen alarm.

gilt im übrigen auch für den manuellen scan der posteingang.dbx - kasperksy meldet, daß die netsky.p mail desinfiziert sei. die datei im anhang läßt sich nachwievor ausführen, ohne daß der on-access-scanner reagiert.


mfg
cruger

das deckt sich exakt mit meinen beobachtungen.......

cruger
06.11.2004, 10:55
vielleicht macht ja ein extra sammel-thread zu dem thema sinn !?

denn mich würden schon die ergebnisse anderer produkte interessieren.

z.b. von gdatas avk, der benutzt ja in der 2005er version sowohl die kaspersky und die bitdefender engine.

oder aber mcafee, f-secure usw.


mfg
cruger

Redcliff
06.11.2004, 11:11
servus,


Original geschrieben von cruger
vielleicht macht ja ein extra sammel-thread zu dem thema sinn !?

denn mich würden schon die ergebnisse anderer produkte interessieren.

z.b. von gdatas avk, der benutzt ja in der 2005er version sowohl die kaspersky und die bitdefender engine.

oder aber mcafee, f-secure usw.


mfg
cruger weiss nicht ob das soviel sinn macht, bei über 100 000 einträgen in der virendatenbank.

ich denke das es den perfekten scanner nicht gibt, u. das jeder auch gewisse schwachstellen hat.
man muss versuchen für sich selbst den besten kompromiss zu finden.

das mit netsky scheint zwar nicht so richtig hinzuhauen, aber wer öffnet schon einen anhang, wenn die mail als verseucht gekennzeichnet wird.

denke ich werde heute nochmals mein image mit dem norton 2002 zurückspielen, u. damit testen.

Redcliff
06.11.2004, 13:45
servus,

habe jetzt mit norton anti virus 2002 getestet.......

im prinzip ist das ergebnis das gleiche wie bei kaspersky, nur nicht ganz so einleuchtend.
norton meldet z.b. die viren nicht im betreff.

im einzelnen:

standard test eicar
Manipulierte ZIP-Datei (zip_g0 )
wird schon in der mail gelöscht, zip_g0 selbst bei deaktiviertem scanner.

zip mit eicar
rar mit eicar
Manipulierte ZIP-Datei (zip 10)
EICAR mit kyrillischen Zeichen
EICAR in passwortgeschütztem ZIP-Archiv
werden beim entpacken des archives erkannt u. isoliert

verhalten bei bagle_q u. netsky_p ist wie bei kaspersky

werde aber trotzdem bei kaspersky bleiben, obwohl der speicherbedarf nortons geringer ist.

cruger
06.11.2004, 13:58
Original geschrieben von Redcliff

werde aber trotzdem bei kaspersky bleiben, obwohl der speicherbedarf nortons geringer ist.

meine nav erfahrungen liegen zwar schon ein weilchen zurück.

aber nav war mit aktiviertem on-access-scanner eine echte systembremse.

mag vielleicht sein, daß der speicherbedarf geringer ist, aber im gegensatz dazu haben so
ziemlich alle symantec-produkte die angewohnheit, die registry zuzumüllen und aufzublähen.

abgesehen davon war mir nav zuletzt etwas zu häufig negativ in den schlagzeilen.

Virenscanner übersehen Schädlinge (14.10.2004) (http://www.heise.de/newsticker/meldung/52162)
Norton Antivirus übersieht Viren in Dateien mit bestimmten Namen (06.10.2004) (http://www.heise.de/newsticker/meldung/51852)
Unsichere ActiveX-Controls in Norton Antivirus 2004 (24.05.2004) (http://www.heise.de/newsticker/meldung/47588)
Lücke in Symantecs LiveUpdate ermöglicht System-Rechte (13.01.2004) (http://www.heise.de/newsticker/meldung/43566)


mfg
cruger

Redcliff
06.11.2004, 14:53
servus,


Original geschrieben von cruger
meine nav erfahrungen liegen zwar schon ein weilchen zurück.

aber nav war mit aktiviertem on-access-scanner eine echte systembremse.

mag vielleicht sein, daß der speicherbedarf geringer ist, aber im gegensatz dazu haben so
ziemlich alle symantec-produkte die angewohnheit, die registry zuzumüllen und aufzublähen.

mfg
cruger da hast du absolut recht..........vor allem wegen des zumüllens wollte ich micht von norton verabschieden.
ich kann dir nicht sagen, wieviele einträge ich aus der reg. geholt habe, aber ich denke 50 reichen bei weitem nicht. dann nochmal 5 od. 6 ordner unter C:.

nein nein, also ich bereue den ausstieg auf gar keinen fall, hoffentlich kam das nicht so rüber.

man muss sich nach ca. 5 jahren norton auch erstmal an den neuen scanner gewöhnen.

was systembremse bzw. speicherfresser angeht, das kann ich so nicht bestätigen, aber wie gesagt die rede ist von norton 2002.

cruger
10.12.2004, 14:11
hat schon jemand erfahrungen mit dem neuen netzwerk/schutz-modul von kasperksy gemacht ?

ich hab das update auf die v5.0.227 vor kurzem installiert und wollte heute mit bittorrent die neueste knoppix-version ziehen.

das problem dabei ist, daß mein bt-client mir als status immer firewalled anzeigt und keine vernünftigen transferraten zu stande kommen

und daran ändert sich leider auch nichts, egal ob ich die firewall in den kaspersky optionen deaktiviere oder nicht.

vor installation des updates hatte ich keine probleme, ebenso wenig auf meiner arbeits-partition, wo ich das update bisher noch nicht installiert habe.

habe bereits die empfehlung bekommen, kaspersky zu deinstallieren, eine neuinstallation durchzuführen und dabei gleich das netzwerk-modul zu deaktivieren.


mfg
cruger

Redcliff
11.12.2004, 22:46
servus,

habe auch probs mit der 227.......
jedoch nicht mit dem netzwerkschutz, sondern mit dem auto update.
ist dieses aktiviert, so blockiert mir das teil, nach dem neustart ca, 3 min lang den rechner.
vermutlich versucht der updater den zugriff aufs netz, bevor win richtig oben ist, u. blockiert mir so den start der noch nicht geladenen dienste.

ich habe diese funktion abschalten müssen.....schade.

cruger
12.12.2004, 02:12
ich hab mein problem gelöst.

wie oben beschrieben, einfach komplett deinstalliert und anschließend eine neue benutzerdefinierte installation. dabei den netzwerk-schutz von beginn an weggelassen.

hat einwandfrei funktioniert.

überwachung des netzwerk-verkehrs scheint ja momentan in mode zu kommen.

aber als firewall geht kaspersky ganz sicher nicht durch.

abgesehen davon läßt sich das netzwerk-modul auch nicht wirklich flexibel konfigurieren.


mfg
cruger

Redcliff
12.12.2004, 11:01
servus,

vielleicht hat das bei mir doch mit dem netzwerk zu tun?
möglich wäre es.

werde auch mal neu installieren......